【正文】 isco就是信心。網(wǎng)絡(luò)設(shè)計的冗余性－采用DPT(動態(tài)包傳輸)的技術(shù)，充分發(fā)揮和利用SDH的APS備份功能以及DPT自身的APS備份功能，使得4個節(jié)點的GSR12000骨干實現(xiàn)冗余互聯(lián)。高性能的網(wǎng)絡(luò)設(shè)備的高性能：方案中選用的GSR12008的交換矩陣容量為40Gbps，數(shù)據(jù)包的有效吞吐能力達(dá)四千萬PPS，可提供的STM－1的SDH的端口達(dá)28個，STM－4的端口可支持7端口。作為接入設(shè)備的Cisco7206,數(shù)據(jù)包的有效吞吐能力達(dá)數(shù)十萬PPS。網(wǎng)絡(luò)的高性能設(shè)計：通過SDH采用STM－4622MbpsDPT技術(shù)實現(xiàn)各節(jié)點間的高速連接；采用PacketoverSDH的技術(shù)采用STM－1155Mbps實現(xiàn)對縣級節(jié)點的高速連接，對SDH的有效使用率可高達(dá)95％。由于GSR12008/7206所具有的QoS(服務(wù)質(zhì)量保證)及網(wǎng)絡(luò)擁塞避免技術(shù)，可以區(qū)別處理不同的應(yīng)用數(shù)據(jù)包，避免網(wǎng)絡(luò)擁塞，從而提高網(wǎng)絡(luò)的有效傳輸性能?？蓴U展的網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的IP動態(tài)路由協(xié)議BGP、OSPF，使得網(wǎng)絡(luò)的發(fā)展可按層次進(jìn)行，具有高的延展性。GSR12000/Cisco7206/Catalyst5505在當(dāng)前的配置下，還有多個槽位可擴展。靈活的網(wǎng)絡(luò) 網(wǎng)絡(luò)設(shè)計適合各種各種類型的接入：GSR12008/Cisco7206/Catalyst5505提供10/100Mbps、155Mbps端口連接IPCodec，視頻會議的PC，各部門的LAN的網(wǎng)絡(luò)及CableModem頭端。Cisco3640的話音端口提供PBX的模擬中繼接入。安全的網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)計具有高的安全考慮，路由交換機的Netflow軟件通過IP地址、用戶應(yīng)用類型的不同控制用戶的對網(wǎng)絡(luò)資源的訪問權(quán)限，實現(xiàn)有效的網(wǎng)絡(luò)安全策略。、南昌市廣電綜合信息網(wǎng)平臺的接入層建設(shè)：接入方式靈活數(shù)據(jù)通訊網(wǎng)絡(luò)發(fā)展到現(xiàn)在，出現(xiàn)了相互交叉的、多種多樣的通訊手段，對于運營網(wǎng)絡(luò)，接入點和用戶端設(shè)備從客觀上來說，要求廣電網(wǎng)絡(luò)具有靈活的接入方式。在網(wǎng)絡(luò)中的核心節(jié)點和接入點，都應(yīng)相應(yīng)考慮集團用戶、個體用戶的不同接入要求。如：CM的HFC網(wǎng)接入、內(nèi)部交換機（PBX）的語音網(wǎng)關(guān)接入等。方案中多服務(wù)接入層主要由Cisco12008/750CiscouBR724Catalyst5500以及AS5300組成。CISCO12008為Gb級核心的IP交換路由器，可實現(xiàn)IP的線速轉(zhuǎn)發(fā)，CISCO12008可提供STM1155Mbps、STM4622MPOS（PacketoverSONET）的接口，10/100M以太網(wǎng)交換端口，可提供高速的LAN連接。路由器接入這種接入方式適用于有分支機構(gòu)的組織。通過路由器將內(nèi)部網(wǎng)連入廣電骨干網(wǎng)，運用VPN技術(shù)組建自己的虛擬專網(wǎng)，可以取代DDN的組網(wǎng)方式，從而每年為用戶節(jié)省大量的線路租用費。局域網(wǎng)接入這種接入方式適用于單位用戶，其內(nèi)部已建成一定規(guī)模的局域網(wǎng)，當(dāng)有連入INTERNET的需求時，可以通過交換機以VLAN的形式接入廣電骨干網(wǎng)。這樣，在其單位局域網(wǎng)與廣電骨干網(wǎng)之間就形成了高速的10/100M接入，而在骨干交換機之間則可達(dá)到千兆，這是其他接入方式所無法比擬的。在LAN數(shù)據(jù)接入中，采用CISCO功能強大的CATALYST5500交換機，為用戶提供到桌面的交換服務(wù)。這種交換網(wǎng)與傳統(tǒng)的共享式LAN相比，減小了網(wǎng)絡(luò)沖突的可能性，提高了用戶的工作效率。CABLEMODEM接入對于HFC的接入，可以考慮頭端設(shè)備采用CISCOuBR7246加用戶端CableModem實現(xiàn)。UBR7246通用機箱中安裝了兩個子系統(tǒng)，一個寬帶電纜子系統(tǒng)和一個路由子系統(tǒng)。通過其提供的寬帶子系統(tǒng)，用戶在家中便可以享受到輕松上網(wǎng)的樂趣，而且可以獲得較高的上連速率。這是目前解決最后一公里接入的最經(jīng)濟且性價比最優(yōu)，極具競爭力的聯(lián)網(wǎng)方案。其寬帶子系統(tǒng)包含4個可互連的調(diào)制解調(diào)卡插槽。在任意一個插槽上可以插入任意一種調(diào)制解調(diào)器卡，而且可以任意組合。通過調(diào)制解調(diào)器對射頻信號的調(diào)制與解調(diào)，從而將用戶與Internet連在了一起。在本期設(shè)計中的Ubr7246是供CableModem用戶接入的訪問服務(wù)設(shè)備。它結(jié)合了路由功能和很強的接入功能。機箱結(jié)構(gòu)按目前接入模板的容納能力，可接入4000戶Cablemodem用戶。CableModem是通過現(xiàn)有的有線電視網(wǎng)（CATV）寬帶網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)高速傳輸?shù)耐ㄐ旁O(shè)備。它不但具有基本的調(diào)制解調(diào)器功能，而且還能夠提供網(wǎng)絡(luò)集線器（HUB），路由器（ROUTE），加密解密器等設(shè)備的功能。使用CableModem可以對Internet進(jìn)行高速度的訪問，并可提供音頻、視頻等多項業(yè)務(wù)內(nèi)容。CableModem下行通信速率為1036Mbps，上行通信速率可達(dá)128K10Mbps，加上由于現(xiàn)有的有線電視網(wǎng)（CATV）已非常普及，利用CableModem作為“數(shù)據(jù)網(wǎng)絡(luò)最后一公里”的接入方式，具有高帶寬，服務(wù)費用低，接入方式靈活等諸多優(yōu)點，在未來幾年內(nèi)，將得到很大的發(fā)展?，F(xiàn)有的CableModem一般采用兩種方法來發(fā)送和接收數(shù)據(jù)：在下行方向采用正交調(diào)幅（64QAM），在上行方向采用四相移鍵控（QPSK）。64QAM方法將數(shù)據(jù)信號調(diào)制在6MHz帶寬的有線電視載波信號上傳輸，CableModem的上行信道不固定，一般在5M40MHz之間。由于有線電纜很容易受到各種噪音的影響，且電纜網(wǎng)絡(luò)多為分支樹型網(wǎng)絡(luò)，各種噪聲在上行過程中和數(shù)據(jù)信號疊加在一起，所以，CableModem廠商大多采用非對稱結(jié)構(gòu)，在上行數(shù)據(jù)調(diào)制中采用QPSK調(diào)制方式，從而提高抗噪聲性能。CableModem通過現(xiàn)有的有線電視網(wǎng)（CATV）寬帶網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)高速傳輸?shù)耐ㄐ旁O(shè)備。它不但具有基本的調(diào)制解調(diào)器功能，而且還能夠提供網(wǎng)絡(luò)集線器（HUB），路由器（ROUTE），加密解密器等設(shè)備的功能。使用CableModem可以對Internet進(jìn)行高速度的訪問，并可提供音頻、視頻等多項業(yè)務(wù)內(nèi)容。CableModem下行通信速率為1036Mbps，上行通信速率可達(dá)128K10Mbps，加上由于現(xiàn)有的有線電視網(wǎng)（CATV）已非常普及，利用CableModem作為“數(shù)據(jù)網(wǎng)絡(luò)最后一公里”的接入方式，具有高帶寬，服務(wù)費用低，接入方式靈活等諸多優(yōu)點，在未來幾年內(nèi)，將得到很大的發(fā)展。與傳統(tǒng)有線電視網(wǎng)業(yè)務(wù)不同，升級改造后的CATV網(wǎng)具有雙向交互式能力，并能為最終用戶提供豐富的信息資源，與傳統(tǒng)有線電視網(wǎng)節(jié)目制作中心單向發(fā)送方式不同的是：多媒體業(yè)務(wù)的數(shù)據(jù)視頻點播、信息查詢、主頁發(fā)布都需要在計算機局域網(wǎng)來完成這部分工作，所以要求建設(shè)一個高效、技術(shù)先進(jìn)、實用的交換式局域網(wǎng)。CISCO/Catalyst交換機系列能夠較好的實現(xiàn)這部分功能。電話交換局接入現(xiàn)在在網(wǎng)絡(luò)技術(shù)中，IP電話技術(shù)成為一個焦點，利用現(xiàn)有的網(wǎng)絡(luò)資源，以及廣域帶寬的日益擴大，用計算機網(wǎng)絡(luò)方式來傳輸話音信號已經(jīng)成為可能。CISCOQOS劃分各項應(yīng)用的服務(wù)優(yōu)先等級，來保證對音頻、視頻信號較為敏感的數(shù)據(jù)流在應(yīng)用可以接受的范圍內(nèi)傳輸。目前，許多單位有自己內(nèi)部的程控交換機，這為發(fā)展單位內(nèi)部撥號上網(wǎng)提供了廣闊的前景。在單位放置一臺撥號訪問服務(wù)器，與廣電骨干網(wǎng)相連，就可以輕松解決上網(wǎng)問題，并且由于是內(nèi)線電話，可以省去大量的電話費用，降低了上網(wǎng)成本。本期方案中，我們也考慮了IP電話的應(yīng)用。用AS5300作為語音網(wǎng)關(guān)，在政策允許的情況下網(wǎng)上可以實現(xiàn)IP電話互通。南昌市CATV寬帶IP網(wǎng)信息平臺從逐步建設(shè)、逐步完善并注重市場回報的發(fā)展觀點來看，市CATV寬帶IP網(wǎng)應(yīng)充分發(fā)揮行業(yè)優(yōu)勢，大力發(fā)展集團用戶，利用豐富的光纖線路資源，為集團用戶提供線路傳輸業(yè)務(wù)。對其他行業(yè)來說，廣電IP寬帶網(wǎng)是否能成為支撐其業(yè)務(wù)發(fā)展的承載平臺，網(wǎng)絡(luò)安全是首先考慮的問題。在南昌市集團用戶的接入上，廣電CATV寬帶IP網(wǎng)可提供以下豐富的接入方式：傳統(tǒng)撥號用戶的接入。計算機局域網(wǎng)的接入。(10/100/1000MBps以太網(wǎng)技術(shù)、ATM等)CableModem方式的接入。在南昌市CATV寬帶網(wǎng)建設(shè)的規(guī)劃中，首先考慮集團用戶以計算機局域網(wǎng)技術(shù)的接入安全問題。網(wǎng)絡(luò)的安全可從兩個層次加以分析：外部網(wǎng)絡(luò)安全南昌CATV寬帶IP網(wǎng)通過數(shù)據(jù)專線進(jìn)入INTERNET國際互連網(wǎng)絡(luò)。INTERNET網(wǎng)絡(luò)的開放性必然存在不安全因素，因此，網(wǎng)絡(luò)建設(shè)應(yīng)在此出口處加以限制，使網(wǎng)外控制和網(wǎng)內(nèi)控制遵循于廣電自身的出口原則，從而保障內(nèi)部CATV網(wǎng)絡(luò)運營安全。我們采用CISCOPIX+軟件防火墻技術(shù)來完成此項功能。內(nèi)部網(wǎng)絡(luò)安全隨著INTERNET的爆炸性增長，網(wǎng)絡(luò)犯罪事件日益增多。據(jù)統(tǒng)計，網(wǎng)絡(luò)的侵入及破壞百分之八十來自于運營網(wǎng)絡(luò)內(nèi)部人員。我們認(rèn)為，南昌廣電CATV寬帶IP網(wǎng)項目，也應(yīng)當(dāng)正視這種現(xiàn)實?；诖耍诒酒谀喜蠧ATV網(wǎng)絡(luò)安全的考慮上我們可通過網(wǎng)絡(luò)設(shè)備所能提供的安全控制功能來保證網(wǎng)絡(luò)的安全，同時，我們也可采用一次性口令認(rèn)證機制保障網(wǎng)絡(luò)的安全。SDI公司的SECURE/DYNAMICS系列產(chǎn)品根據(jù)授權(quán)認(rèn)證中心+SECUREID+隨機算法的安全策略來保護(hù)網(wǎng)絡(luò)。安全系統(tǒng)的實施南昌廣電CATV網(wǎng)絡(luò)安全系統(tǒng)采用系統(tǒng)設(shè)計、統(tǒng)一規(guī)劃、統(tǒng)一實施的原則。根據(jù)安全需求，可以采用如下方法實施：發(fā)揮網(wǎng)絡(luò)設(shè)備安全功能，并采用一次性口令認(rèn)證系統(tǒng)保證非法(未授權(quán))用戶的闖入：充分發(fā)揮網(wǎng)絡(luò)建設(shè)中設(shè)備所能提供的安全功能，詳細(xì)規(guī)劃VLAN，MAC地址管理，IP地址管理，訪問控制列表的劃分，網(wǎng)絡(luò)管理平臺的應(yīng)用。選用防火墻來保護(hù)南昌CATV寬帶網(wǎng)絡(luò)以避免來自INTERNET的不安全因素；通過網(wǎng)絡(luò)黑客防范軟件防止對系統(tǒng)的非法侵入，通過配置加固主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全；統(tǒng)一建立病毒防范機制；統(tǒng)一規(guī)劃和完善系統(tǒng)的備份和恢復(fù)措施；結(jié)合技術(shù)手段完善系統(tǒng)的物理安全管理制度。用一次性口令設(shè)備保護(hù)主機和網(wǎng)絡(luò)設(shè)備；選用安全分析軟件對系統(tǒng)的安全進(jìn)行分析和監(jiān)控；在制定和實現(xiàn)統(tǒng)一技術(shù)安全策略的基礎(chǔ)上，進(jìn)一步完善安全管理規(guī)范和制度。下面針對安全建設(shè)的內(nèi)容進(jìn)行詳細(xì)說明。防火墻系統(tǒng)的建設(shè)防火墻位于不同的安全域之間，實現(xiàn)不同安全域之間的隔離和訪問控制。防火墻技術(shù)通常包括：分組過濾、電路網(wǎng)關(guān)、應(yīng)用代理、多端口、NAT、VPN、用戶認(rèn)證和授權(quán)、審計和告警。在南昌市CATV網(wǎng)的升級改造中，我們考慮在南昌CATV網(wǎng)與外界INTERNET連接處采用防火墻系統(tǒng)。作用有兩個：一、完成南昌市CATV網(wǎng)私有IP地址與INTERNET真地址之間的地址轉(zhuǎn)換功能(NAT)；南昌市CATV網(wǎng)絡(luò)將按照綜合網(wǎng)絡(luò)平臺的規(guī)模做細(xì)致的全網(wǎng)IP規(guī)劃，我們可將全網(wǎng)分為CATV內(nèi)部網(wǎng)和與INTERNET服務(wù)提供商(ISP)相連的外部網(wǎng)部分。在CATV網(wǎng)內(nèi)部，我們希望內(nèi)部的網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)關(guān)鍵資源以及網(wǎng)絡(luò)IP的規(guī)劃對外部用戶來說，是不透明的“黑匣子”。而在CATV網(wǎng)外部，它是與INTERNET真正相連的部分，這種連通性是由真正的INTERNET/IP地址來保證的，為了使部分INTERNETIP地址來對應(yīng)CATV內(nèi)部網(wǎng)規(guī)劃的合法IP來保證網(wǎng)絡(luò)的連通性，我們利用防火墻系統(tǒng)來完成網(wǎng)絡(luò)地址轉(zhuǎn)換。(NAT)二、精確定義CATV內(nèi)部安全區(qū)域、INTERNET非安全區(qū)域、安全代理區(qū)域三級不同訪問權(quán)限的關(guān)系。我們認(rèn)為CATV網(wǎng)是廣電部門自己管理并維護(hù)的網(wǎng)絡(luò)，是安全的內(nèi)部網(wǎng)。而在與INTERNET相接部分，是由INTERNET服務(wù)提供商提供的真IP地址的接入網(wǎng)，因INTERNET網(wǎng)的開放性，這一部分是不安全的CATV外部網(wǎng)絡(luò)。在防火墻系統(tǒng)的建設(shè)中，我們在內(nèi)、外網(wǎng)結(jié)合處，亦即在防火墻上將內(nèi)部和外部的安全層次加以定義，完成對IP地址，以及TELNET端口號、網(wǎng)絡(luò)號等的授權(quán)和控制。在WWW的建設(shè)中，CATV網(wǎng)絡(luò)平臺應(yīng)能夠為各系統(tǒng)、各行業(yè)提供豐富的網(wǎng)絡(luò)應(yīng)用?；赪WW的URL(統(tǒng)一資源定位)、JAVA控件等的進(jìn)一步限制，我們可在防火墻系統(tǒng)上建立DMZ(安全的非軍事區(qū))來達(dá)到控制目的。在防火墻上可建立多個層次的DMZ安全區(qū)域，根據(jù)應(yīng)用的安全需求，防火墻與應(yīng)用代理配合保證安全的細(xì)化。由上所述，在內(nèi)外網(wǎng)相連處采用防火墻來保證避免來自INTERNET上不安全因素的攻擊。防火墻產(chǎn)品的選用原則是：(1)高可用性：利用防火墻可以有效保護(hù)內(nèi)部網(wǎng)絡(luò)，并且其本身運行具有很高的穩(wěn)定性和可靠性。(2)安全性：保證被保護(hù)網(wǎng)絡(luò)的安全級別以及其本身的安全性。(3)高性能：防火墻應(yīng)滿足應(yīng)用對網(wǎng)絡(luò)傳輸性能的要求。(4)易用性：防火墻的管理和配置要比較簡潔和易于理解。(5)易接入性：防火墻的接入對網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的影響應(yīng)比較小。(6)信息安全保密技術(shù)與措施：通過路由器、服務(wù)器和重要的工作站上設(shè)置“防火墻”，重要或敏感的網(wǎng)絡(luò)出入設(shè)置專用訪問控制機構(gòu)，對所有各級保密數(shù)據(jù)在傳送之前進(jìn)行加密處理。在南昌廣電CATV網(wǎng)絡(luò)系統(tǒng)中，防火墻主要應(yīng)用于CATV網(wǎng)絡(luò)和INTERNET外部網(wǎng)絡(luò)的安全隔離控制。防火墻采用CISCO的PIX硬件。實現(xiàn)CATV網(wǎng)外有權(quán)用戶和國際Internet用戶的互訪。一次性口令系統(tǒng)的建設(shè)一次性口令系統(tǒng)是身份認(rèn)證技術(shù)的一種。身份認(rèn)證技術(shù)的功能是證明主體所申明的身份和其真實身份相符合。傳統(tǒng)的身份認(rèn)證方法通常用口令機制驗證主體身份，即用戶先輸入某種標(biāo)志信息，比如用戶名和ID號，然后系統(tǒng)詢問用戶口令，若口令與用戶文件中的相匹配，證明了用戶的身份，即可進(jìn)入。傳統(tǒng)口令認(rèn)證機制適合于大型主機加終端的應(yīng)用環(huán)境，在網(wǎng)絡(luò)環(huán)境中，存在如下缺點：(1)口令可重復(fù)使用。攻擊者可以采用字典攻擊法破解。(2)口令在網(wǎng)絡(luò)上明文傳輸，易被截獲。一次性口令就是針對以上弱點的安全的口令認(rèn)證機制，其特征是口令不能夠重用，口令一次使用后就失效，下次的口令必然隨機變化。這樣，即使口令被截獲，攻擊者也不能使用它。SecurityDynamics的ACEServer和SecureID加起來形成了世界領(lǐng)先的一次性口